No que se refere a OWASP Top 10, julgue o seguinte item. Cry...
Cryptographic failures tem como diretiva de prevenção bloquear o acesso a recursos internos de um ambiente, exceto aos recursos que realmente necessitem ser públicos, como websites disponíveis para a Internet.
Gab.: Errado
A descrição se refere ao Risco 01 do OWASP 2021 - Broken Access Control (Controle de acesso quebrado):
O controle de acesso só é eficaz em um código do lado do servidor ou em uma API sem servidor, onde o invasor não pode modificar a verificação de controle de acesso ou os metadados. Como previnir:
- Exceto para recursos públicos, negar por padrão.
- Implemente mecanismos de controle de acesso uma vez e reutilize-os em todo o aplicativo, inclusive minimizando o uso do Cross-Origin Resource Sharing (CORS).
- Os controles de acesso do modelo devem impor a propriedade do registro em vez de aceitar que o usuário possa criar, ler, atualizar ou excluir qualquer registro.
- Requisitos exclusivos de negócios devem ser impostos pelos modelos de domínio.
- Desative a listagem de diretórios do servidor web e certifique-se de que os metadados dos arquivos (por exemplo, .git) e os arquivos de backup não estejam presentes nas raízes da web.
- Registre falhas de controle de acesso e alerte os administradores quando for necessário (por exemplo, falhas repetidas).
- Limite de taxa de acesso à API e ao controlador para minimizar os danos causados por ferramentas de ataque automatizado.
- Os identificadores de sessão stateful (que armazenam o estado) devem ser invalidados no servidor após o logout. Os tokens JWT stateless (que não armazenam o estado) devem ter vida curta para que a janela de oportunidade para um invasor seja minimizada. Para JWTs de longa duração, é altamente recomendável seguir os padrões OAuth para revogar o acesso.
Gab: Errado.
Pensei no HTTPS que é criptografado e usado em websites disponíveis para a Internet.
Com isso matei a questão...